[セキュリティ]エスケープって何?

エスケープとは

コンピュータにおいて入力文字列から特殊な記号などを無害化する処理。特にサニタイジングなど。
Wikiより

ネットを閲覧していたら、いつのまにかクレジットカードの番号が漏れてしまったら、、、これはやばいですよね。

Web開発ではセキュリティとして悪意のあるコードを埋め込まれないように対策をします。

ユーザが自由な文章を入力できる場合、厳密に「悪意のあるコード」を識別することはコンピューターに難しいです。
そのため「変なものを入力されても影響がないようにする」と言う観点で行うのがエスケープです。


インターネットは基本HTML文字の集合体です。
ブログやツイッター(Web)なども、細かく分解してくと全て文字です。

投稿文にHTML文字を入力、表示する場合、ブラウザは「開発者が入力したHTMLか他の人が入力したHTMLか」がわかりません。

ですから「他の人が入力したHTML」をHTMLではないただの文字列に変換して攻撃を無害化するんですね。

具体的には、、、次のようにHTMLとして意味を持つ記号を実態参照に変換します。

記号 実態参照
< &lt; 小なり
> &gt; 大なり
& &amp; アンパサンド
&quot; ダブルクォーテーション
&#x27 シングルクォーテーション
` &#x60 バッククォート

詳しい記事

バイラルクラブ – サニタイジング(エスケープ)とは?HTML特殊文字を無害化しない事による脅威と対策のまとめ
http://viral-community.com/blog/html-sanitizing-escape-1859/

鉄板の書籍


スポンサーリンク







シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク